Ransomware for dummies

In de onlangs verschenen ‘Malware Forecast 2018’ van Sophos wordt onder meer gesproken over een verschuiving van ransomware richting “de massa”. Het gemak waarmee een cyber-boef anno 2018 ransomware uit de cloud trekt, toont overeenkomsten met het gemak waarmee u en ik Office 365 uit de cloud ophalen en installeren. Ergo: Ransomware-as-a-Service(RaaS) is losgebarsten.

Je hoeft je middelbare school niet te hebben afgemaakt om voortaan als een rasechte RaaS-crimineel door het leven te gaan. En begrijp je het allemaal niet omdat je je humanoriadiploma niet hebt gehaald? Geen nood! Dit soort dubieuze RaaS-omgevingen beschikken namelijk over een uitmuntende helpdesk. Crimineeltje spelen was nog nooit zo makkelijk, en dat is bittere ernst.

Kleine boefjes en geoefende bandieten kunnen ransomware aanschaffen (huur, koop, lease: you name it) en deze heel specifiek inzetten. Gijzel-software voor elke gelegenheid - met de hartelijke groeten van de goed geoliede marketing-afdeling van het Dark Web. Een voorbeeld van zo’n gelegenheid is WannaCry die afgelopen zomer van zich deed spreken. Deze ransomware-variant glipte overal doorheen en gijzelde wereldwijd honderdduizenden computers. Het verspreidingsmechanisme van WannaCry was gebaseerd op een Windows-gat dat allang gepatcht was. Gebruikers die op tijd hun Windows-update hadden uitgevoerd, hadden nergens last van. Wanneer je over een anti-ransomware beschikt, wil dat overigens niet zeggen dat je dan extra lang kunt doen over het evalueren van je patches. Het welbekende rijmpje

Patch dinsdag

Reverse Engineering woensdag

Exploit donderdag

is nog steeds van toepassing. Iedereen die dan nog niet gepatcht is, wordt daarmee meteen doelwit. Het is daarom niet verwonderlijk dat Uithuilvrijdag onlangs aan deze drie rijmregels is toegevoegd.

Meer dan storende factoren

WannaCry (en in een later stadium Petya) zijn in meerdere opzichten storende factoren geweest. Dat een computer slachtoffer wordt van ransomware en het dan niet meer doet, is irritant maar niet onoverkomelijk. Nieuwe Windows-versie erop, de boel opstarten en hij werkt weer. Maar kijken we naar ziekenhuizen die net als andere zorginstellingen een doelwit zijn geweest van ransomware zoals WannaCry, dan ligt deze discussie veel gevoeliger.

Wat te denken van een ambulance met loeiende sirenes die met een patiënt in kritieke toestand wordt doorverwezen naar een ander ziekenhuis omdat bij het doorverwijzende ziekenhuis alles “plat” ligt? Of de National Health Service die in het Verenigd Koninkrijk door WannaCry werd aangevallen? In het laatste geval konden ze niet eens meer je bloedgroep in het digitale dossier opzoeken. Letterlijk en figuurlijk dodelijke momenten voor, in dit geval, de Britse gezondheidszorg.

Mochten deze zorginstanties goed voorbereid zijn geweest, zouden zij voor geen enkele ransomware-aanval angst hoeven hebben. Dan beschikken zij over goede off-line back-ups die ze binnen zeer geringe tijd kunnen terugzetten. Deze organisaties dienen er dan ook alles aan te doen om nooit in een situatie gemanoeuvreerd te worden dat ze voor the bad guys de portemonnee moeten trekken. Een patch-beleid is de eerste stap in het voorkomen van dergelijke situaties. Heeft een bedrijf (lees: ziekenhuis) die IT-kennis zelf niet in huis, dan moeten zij ervoor zorgen dat er een goede relatie ontstaat met een partij voor wie security wél core business is. Die kunnen zorgen voor een strak patch-regime, goede back-ups (en off-line kopieën van die back-ups) en software-beheer. En zij zijn ook de partij die voor firewalls zorgt wanneer het röntgenapparaat op hetzelfde netwerk is aangesloten als de computer van de polikliniek.

Een streng patch-regime is meer dan belangrijk. Daarnaast is er ook belangrijke rol weggelegd voor medewerkers, vaak bestempeld als de zwakste schakel. Leid hen op en zorg ervoor dat zij geen gijzel-software via hun email kunnen binnenhalen.

Het wordt een uitdagend security-jaar waarin we met z’n allen proberen een stapje voor te blijven op de cyber-criminelen. In de tussentijd: keep on patching!

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sophos Benelux)

Meer info: 00-31/162.480.240 of http://www.sophos.com).